Virtual CISO: как получить услуги ИБ-директора, не нанимая его в штат

Тема дефицита представителей руководящего звена часто отодвигается на второй план, поскольку, независимо от отрасли, всегда присутствуют гораздо более критичные проблемы. Например, общий дефицит кадров или же их высокая текучка.

Вместе с тем отсутствие высокого уровня компетенций в топ-менеджменте компании приводит к общему упадку всех бизнес-процессов. Некомпетентный управленец может нарушить работу даже у самой слаженной команды, не говоря о формировании штата из новичков.

Применительно к ИБ и дефициту опытных CISO на российском рынке, есть технологичное решение, позволяющее качественно усилить работу ИБ-директора – это vCISO. О том, что это за сервис, как он работает и в каких случаях может потребоваться компании – в этом материале.

Что такое виртуальный CISO

Многие процессы в ИТ и кибербезопасности идут по следующему алгоритму:

• компания организует процесс своими силами;
• компания отдает тот же процесс на ауторс;
• компания обращается за реализацией того же процесса на специальную платформу или сервис.

Ровно через этот же путь развития прошел и CISO – сначала появились услуги атусорса ИБ-директоров, затем – концепция CISO-as-a-service. Формально, virtual CISO включает в себя и аутсорс, и сервис, поскольку вы можете пригласить реального, опытного ИБ-директора под конкретный проект, задачу или организацию процесса, а также пользоваться услугами платформы, экспертизой и аналитикой, как источник дополнительных компетенций для штатного директора ИБ. А если вместе с виртуальным директором работает еще и его команда, то к сервису и аутсорсу можно добавить еще и аутстаф.

Таким образом, виртуальный ИБ-директор позволяет решает конкретные задачи в моменте, путем привлечения высокоуровнего управленца, и, параллельно, наращивать экспертизу штатного специалиста.

Герасимов Александр

CISO Awillix

Направление CISO-as-a-service стремительно развивается с каждым годом, причина в том, что все больше компаний начинают заботиться об информационной безопасности, но действительно опытных директоров по ИБ мало. Еще сложнее найти CISO для конкретной области. Например, тот, кто имеет богатый опыт в финансовом секторе может быть малополезен в секторе АСУТП, просто в силу специфики работы организации.

Таким образом, основным плюсом CISO-as-a-service является то, что компания не нанимает одного конкретного человека, а пользуется услугами экспертов из разных областей: инженеров по ИБ для внедрения средств защиты, специалистов по ИБ для реализации моделей угроз и моделей нарушителей, экспертов в области анализа защищенности для защиты собственных приложений и тд.

Еще одной причиной почему сервис становится популярным не только на зарубежном рынке, но и на российском — стоимость. Как правило, стоимость услуги на 60% (в среднем) ниже, чем оклад директора по ИБ.

Это особенно актуально в условиях, когда кибербезопасность становится для огромного количества компаний не просто требованием государства, а вопросом живучести бизнеса. Издержки на организацию ИБ и услуги vCISO, в любом случае, не так критичны для бизнеса, как 2-3 месяца простоя в год из-за атак шифровальщиков, DDoS атак, вкупе с издержками на выплату грядущих оборотных штрафов за допущение утечки данных.

Для чего используется виртуальный директор по кибербезопасности

Такой формат взаимодействия наиболее актуален для компаний, которые начали формировать свой ИБ-отдел буквально вчера. Поскольку рынок труда далек от насыщенности, велика вероятность, что новоиспеченный штат будет состоять преимущественно из вчерашних выпускников ВУЗов и нескольких опытных специалистов, которые не занимали руководящих должностей и банально не имеют опыта решения задач на уровне ИБ-директора.

Исходя из повышения агрессивности цифрового пространства, появления новых законов, которые затрагивают большое количество компаний с нулевой, не зрелой либо « бумажной» ИБ, а также анонсированных регуляторами законопроектов в сфере кибербезопасности – количество таких компаний в ближайшие три года будет большим. И действующих ИБ-директоров (преимущественно трудоустроенных у вендоров или топовых компаний своей отрасли) просто физически не хватит, а нарастить количество такого уровня специалистов в короткие сроки просто невозможно, на всех точно не хватит, поэтому услуги CISO-as-a-service и смежные направления будут особенно актуальны.

Александр Моисеев

Ведущий консультант по ИБ AKTIV.CONSULTING (Компания «Актив»)

Данная услуга актуальна прежде всего для:

— стартапов (как правило применяется для обеспечения конфиденциальности ноу-хау и интеллектуальной собственности на самых ранних стадиях);

— малого / среднего бизнеса (как правило используется для разработки стратегии ИБ, аудит, анализ рисков, анализ защищенности, помощь во внедрении и настройке средств защиты информации);

— для более крупных компаний, которым нужны редкие компетенции для реализации конкретных проектов или продуктов (как правило, это разработка ТЗ на подсистемы ИБ; консалтинг по специфической системе нормативной документации, связанной с промышленной / функциональной / атомной безопасностью и т.п. – это могут быть национальные и международные стандарты, законодательные акты, в том числе юрисдикций других стран; решение узких прикладных задач настройки оборудования конкретного вендора; обеспечения безопасности АСУ ТП или систем промышленной автоматики).

Основным преимуществом является то, что компании получают, как правило, по фиксированной стоимости часовой оплаты через интерфейс «vCISO» консалтинг одного-двух менеджеров и целой группы опытных специалистов и инженеров ИБ. Ключевое слово здесь «опытных», т.к. подбор специалистов с релевантным опытом / компетенциями, а также кадровые риски и обеспечение качества берет на себя провайдер услуг. Зачастую штатные специалисты компаний могут самостоятельно найти оптимальное решение, но им требуется верификация (независимая оценка) более опытных коллег в области ИБ – данный сервис как раз идеально подходит для таких ситуаций.

Для экспортеров/импортеров высокотехнологичных продуктов, решений и услуг при выходе на локальные рынки данная услуга будет очень полезной, т.к. на самых ранних этапах разработки бизнес-планов и инвестиционных программ можно учесть неочевидные на первый взгляд страновые риски, связанные с регуляторикой вопросов ИБ на местах.

Несмотря на то, что платформ virtual CISO на российском рынке достаточно неплохо, сама концепция CISO-as-a-service представлена достаточно широко. Разные ИБ-компании предлагают услуги и по организации SOCа, и по выполнению комплаенса, и ряд других услуг, которые можно назвать частным примером работы платформы vCISO.

Итоги

CISO-as-a-service – это возможность получить для решения своих задач опытного ИБ-директора. Она наиболее актуальна для тех компаний, которые находятся на начальных этапах формирования ИБ или нуждаются в обеспечении одной конкретной функции, реализации проекта, для которого экономически невыгодно нанимать специалиста такого уровня в штат.

Спрос на услуги virtual CISO в ближайшие три года будет расти активно, поскольку большому количеству компаний нужно либо строить свою кибербезопасность с нуля, либо перейти на новый уровень обеспечения ИБ. В обоих случаях возрастает потребность к экспертизе и опыту людей, которые умеют решать задачи ИБ на операционном и стратегическом уровне, закладывать основы кибербезопасности в плане штата, информационных систем, регламентов и других фундаментальных решений.

При этом, сама концепция предназначена для решения конкретных задач здесь и сейчас, и не может заместить собой найм штатного ИБ-директора на среднесрочной и долгосрочной дистанциях.